你的汽車(chē)有多安全？

　　多年以來(lái)，汽車(chē)安全事件已經(jīng)成為公眾矚目的焦點(diǎn)，大多與車(chē)輛被盜或發(fā)動(dòng)機(jī)控制功能的“崩潰”有關(guān)。 對(duì)于那些在工程技術(shù)上安全可靠的汽車(chē)系統(tǒng)，這些故事向我們展示了它們差強(qiáng)人意第一面，而且隨著新的威脅不斷涌現(xiàn)，風(fēng)險(xiǎn)還在增加。 2015-2020 期間，車(chē)內(nèi)的計(jì)算能力有望提高 100 倍，黑客也找到了更加復(fù)雜的方法去侵入汽車(chē)內(nèi)部并控制諸多功能，從廣播到制動(dòng)。 讓我們看一看設(shè)計(jì)一輛安全的汽車(chē)所面臨的部分挑戰(zhàn)，以及如何去應(yīng)對(duì)這些挑戰(zhàn)。

　　在安全領(lǐng)域，人們會(huì)說(shuō)到系統(tǒng)的攻擊面。 攻擊面小意味著沒(méi)什么機(jī)會(huì)侵入，攻擊面大則意味著機(jī)會(huì)多多。 過(guò)去侵入汽車(chē)只能靠攻擊車(chē)內(nèi)的線(xiàn)路，讓自己混入電子線(xiàn)路 （電子控制單元） 之間交換的消息當(dāng)中，并創(chuàng)建自己的消息，進(jìn)而攻擊汽車(chē)。

　　一個(gè)很好的例子就是——如果犯罪分子知道有一根線(xiàn)路通過(guò)車(chē)身底板，就在那里鉆一個(gè)孔。 他們將一根探針連到線(xiàn)路上，并用這個(gè)打開(kāi)車(chē)門(mén)，并破壞其防盜系統(tǒng)。 這個(gè)方法行得通，但不具備可擴(kuò)展性。 不過(guò)，有很多價(jià)格不菲的汽車(chē)就是這樣被偷走的，現(xiàn)在仍是如此！

　　更多技術(shù)意味著攻擊面增大

　　你看看現(xiàn)代的汽車(chē)，還有正在設(shè)計(jì)的那些，它們就是由幾英里長(zhǎng)的線(xiàn)路組成的分布式系統(tǒng)，如果你能接觸到它們，就有很多方法入侵車(chē)輛。 這就說(shuō)明了為什么這個(gè)問(wèn)題很刺手。直到最近，唯一使用的嵌入式無(wú)線(xiàn)電臺(tái)就是為了提供無(wú)鑰匙進(jìn)入功能，但汽車(chē)行業(yè)在這一方面的開(kāi)局并不順利，因?yàn)橛泻芏嗬痈嬖V人們?nèi)绾问褂眯盘?hào)增強(qiáng)器或進(jìn)行模仿。

　　甚至還有人在教如何通過(guò)FM 無(wú)線(xiàn)數(shù)字系統(tǒng) （RDS） 來(lái)擾亂車(chē)載信息娛樂(lè)系統(tǒng) （IVI）。 如果汽車(chē)旁邊有一個(gè)假冒的無(wú)線(xiàn)信號(hào)源，它發(fā)出一個(gè)軟件不應(yīng)該接收的 RDS 擾亂消息，就能讓嵌入式的無(wú)線(xiàn)電臺(tái)崩潰。 當(dāng)然，這不是什么嚴(yán)重的問(wèn)題，只是讓我們知道做到安全并非易事，而且并非只有汽車(chē)如此。

　　總而言之，我們不難看出無(wú)線(xiàn)接口和軟件的大幅增加對(duì)汽車(chē)行業(yè)來(lái)說(shuō)算得上是一個(gè)重大的變化。 面對(duì)這些嚴(yán)峻的挑戰(zhàn)，行業(yè)內(nèi)開(kāi)展了大量工作來(lái)解決它，而且它將繼續(xù)成為行業(yè)人士關(guān)注的主要內(nèi)容。

　　安全的符咒就是“不要相信任何人”。 考慮到這一點(diǎn)，設(shè)計(jì)師必須確保堵上所有的漏洞。 黑客可以選擇從任何一點(diǎn)進(jìn)行攻擊，一個(gè)漏洞足矣。 查理·米勒 （Charlie Miller） 在最近召開(kāi)的 ARM TechCon 大會(huì)上發(fā)表了主旨演講，更是讓我們知道現(xiàn)在有多少車(chē)輛在有足夠技術(shù)知識(shí)和動(dòng)機(jī)的黑客面前都不堪一擊。

　　查理·米勒 ARM TechCon 演講的主旨

　　OTA （over-the-air） 安全

　　一方面，制造出具有強(qiáng)大安全基礎(chǔ)的汽車(chē)非常重要，但當(dāng)務(wù)之急是出現(xiàn)問(wèn)題的時(shí)候有能力解決它們，畢竟問(wèn)題總是會(huì)出現(xiàn)的。 一輛汽車(chē)的使用壽命通常在十年以上，那個(gè)時(shí)候它需要和現(xiàn)在一樣安全。 關(guān)鍵在于接受這樣的事實(shí)——黑客總能找到入侵的方法，因此我們要打造一個(gè)可以而且將會(huì)修復(fù)的系統(tǒng)。 目前，所有汽車(chē)軟件實(shí)際上都是在經(jīng)銷(xiāo)商或其他授權(quán)的服務(wù)代理商那里通過(guò)一根電纜線(xiàn)完成的，需要預(yù)約和人工成本。 所有人都能看出這并非一個(gè)具有擴(kuò)展性的解決方案。

　　這意味著固件 OTA 更新 （FOTA） 是個(gè)非常重要的努力方向，它可以在發(fā)現(xiàn)問(wèn)題之后的幾天甚至是幾個(gè)小時(shí)之內(nèi)，發(fā)布安全補(bǔ)丁以供汽車(chē)自動(dòng)下載。 即使汽車(chē)的問(wèn)題十分嚴(yán)重也不愿意接受召回的車(chē)主數(shù)量多到嚇人。

　　為了實(shí)現(xiàn)擴(kuò)展性，汽車(chē)軟件有必要以 OTA 的方式進(jìn)行修復(fù)

　　OTA 維護(hù)軟件成功的關(guān)鍵在于它能夠以可靠的方式建立汽車(chē)網(wǎng)絡(luò)的可信度。 如果有了可靠的安全基礎(chǔ)，升級(jí)程序?qū)嶋H上不必與受損系統(tǒng)發(fā)生交互。 如果系統(tǒng)可靠，那么其軟件系統(tǒng)的身份信息、可信度和清單文件都可以得到驗(yàn)證。 在授權(quán)進(jìn)行升級(jí)之前，汽車(chē) OTA 系統(tǒng)通常驗(yàn)證系統(tǒng)的這些屬性。

　　基于硬件的信任根可以成為 FOTA 的堅(jiān)實(shí)基礎(chǔ)，因?yàn)樗梢詸?quán)衡一個(gè)平臺(tái)，并與遠(yuǎn)程的 OTA 系統(tǒng) （由汽車(chē)制造商或其代理商運(yùn)行管理） 以安全的方式進(jìn)行交互。 軟件供應(yīng)商有真正的機(jī)會(huì)開(kāi)發(fā)這種 OTA 連接和配置框架。

為了實(shí)現(xiàn)擴(kuò)展性，汽車(chē)軟件有必要以 OTA 的方式進(jìn)行修復(fù)

　　預(yù)防攻擊的另外一種方式是通過(guò)報(bào)告實(shí)現(xiàn)的。 聲音響亮的汽車(chē)防盜器可以阻止一個(gè)企圖進(jìn)入車(chē)內(nèi)的盜賊，有些公司——比如 TowerSec （現(xiàn)在是哈曼的一部分）——就在研制可以檢測(cè)到潛在入侵并且發(fā)現(xiàn)安全隱憂(yōu)的系統(tǒng)。

　　汽車(chē)安全需要各方努力

　　隨著行業(yè)內(nèi)的供應(yīng)鏈不斷延伸，打造一臺(tái)安全的汽車(chē)需要各方的協(xié)作。 其目的就是盡可能減少可以被黑客利用的攻擊面，智能手機(jī)行業(yè)目前花了相當(dāng)長(zhǎng)的時(shí)間來(lái)攻克這個(gè)問(wèn)題。 利用在這一領(lǐng)域已被證明有效的實(shí)踐方法，這將是個(gè)不錯(cuò)的起點(diǎn)，有利于整個(gè)生態(tài)體系在未來(lái)汽車(chē)安全的問(wèn)題上開(kāi)展合作。 汽車(chē)制造商可以通過(guò)指定和使用一些軟件和硬件技術(shù)來(lái)提供支持，這些技術(shù)包括：

　　· 基于硬件的可信執(zhí)行環(huán)境 （TEE），比如應(yīng)用處理器中基于ARM® TrustZone®的 GlobalPlatform TEE

　　· 微控制器中基于 TrustZone 的 uVisor

　　· 在硬件安全模塊 （HSM） 中運(yùn)轉(zhuǎn)的安全子系統(tǒng)，比如 ARM TrustZone CryptoCell

　　針對(duì) TEE 管理的新標(biāo)準(zhǔn)也在制定過(guò)程當(dāng)中，比如最近宣布的開(kāi)放信任協(xié)議 （Open Trust Protocol）。 它利用 PKI/CA 以及簡(jiǎn)化的 TEE 管理來(lái)管理和確保所有設(shè)備和服務(wù)供應(yīng)商之間的信任。

　　移動(dòng)的安全架構(gòu)正在走向低成本的 MCU （針對(duì) ARMv8-M 的 TrustZone 以及 ARM 最近發(fā)布的 TrustZone CryptoCell-312 安全 IP），為汽車(chē)行業(yè)提供了真正的機(jī)遇，首次嘗試建立基于硬件的安全的新層次。

　　汽車(chē)在未來(lái)面臨著諸多挑戰(zhàn)，安全就排在第一位，但整個(gè)行業(yè)還有時(shí)間做出正確的應(yīng)對(duì)。 汽車(chē)制造商非常重視這個(gè)問(wèn)題，通過(guò)企業(yè)機(jī)構(gòu)重組將安全技術(shù)集中到卓越中心，而不是將它們四處傳播，或是作為權(quán)益之計(jì)。 ARM 與整個(gè)供應(yīng)鏈上的合作伙伴展開(kāi)協(xié)作，為安全知識(shí)與安全實(shí)施建立標(biāo)準(zhǔn)，旨在讓下一代汽車(chē)變得更安全。